Az új rosszindulatú programok névtelen proxykat hoznak létre a fertőzött számítógépeken

Amíg az emberek produktív dolgokat csinálnak szoftverekkel, addig vannak olyan bunkók, amelyek rosszindulatú programokat készítenek a dolgok felcsavarására és pénzkeresésre. Ahogy a biztonság javul, a rosszindulatú programok az évek során egyre okosabbak lesznek. Néhány modern változat, mint például ransomware elég okosak, de a Palo Alto Networks nemrégiben számolt be valami új felfedezéséről. A ProxyBack névtelen proxykat állít fel a fertőzött számítógépeken, hogy az áldozat kapcsolata útján irányítsa a forgalmat.

Különböző országokban van igény a proxy kapcsolatokra, mind törvényes, mind nem törvényes használatra. Amikor a ProxyBacknek sikerült behatolnia egy rendszerbe (valószínűleg megtévesztő szoftverletöltések révén), akkor az működik fordított alagút felállítása a gépen . Ez lehetővé teszi a ProxyBack számára, hogy megkerülje az adatfolyamot megakadályozó biztonsági intézkedéseket, például szoftveres és hardveres tűzfalakat.



A ProxyBack TCP-n keresztül egy rosszindulatú proxykiszolgálóhoz fordul, hogy ellenőrizze a megfelelő telepítést. A szerver ezután teszt pinget küld, hogy megbizonyosodjon arról, hogy a proxy csatlakozik-e a másik oldalon lévő nyílt internethez. Ha minden a tervek szerint alakul, akkor kezdődik a móka. Az áldozati gép mára nagy mennyiségű proxy adat központjává válik, és nem minden adat kapcsolódik a rosszindulatú programok szerzőinek tevékenységéhez. Úgy tűnik, hogy akaratlan harmadik felek is használják ezeket a proxy kapcsolatokat.





A Palo Alto Networks elemezte a ProxyBack gépen keresztül érkező adatokat, és megállapította, hogy ezek egy része általános forgalom volt olyan webhelyek felé, mint a Facebook, a Twitter, a Wikipedia és így tovább. Ez valószínűleg olyan rendes emberektől származik, akik nem tudják, hogy adataikat egy rosszindulatú programokkal fertőzött gépre irányítják. Ez nemcsak a ProxyBack áldozata, hanem a proxyt használó emberek számára is problémát jelent. Adataik nem egy biztonságos szerveren mennek keresztül, hanem egy rosszindulatú programmal fertőzött számítógépen. Triviálisan könnyű lenne lehallgatni ezeket a csomagokat.

proxyback4



A ProxyBack kapcsolatokon átmenő adatok zöme önmagában elég rosszindulatúnak tűnik. A kutatók szerint a ProxyBack sávszélességének nagy részét egy automatizált rendszernek szentelték, amely hamis társkereső profilokat hoz létre olyan webhelyeken, mint a Match.com és az OkCupid. A kapcsolat visszakeresése a buyproxy.ru nevű webhelyre vezetett. Kutatók valójában kiszúrta a tesztgépeiket a buyproxy webhelyen elérhető proxyként szerepel. A vállalat azt állítja, hogy az általuk biztosított proxyk titkosítottak, és saját fejlesztésű „forgalomcsatornázási” technológiát használnak. A szabadalmaztatott malware technológia jobban hasonlít rá, nem?



A Palo Alto Networks megjegyzi, hogy nincs közvetlen bizonyíték arra, hogy a buyproxy.ru tulajdonosai állnának a ProxyBack kártevő mögött, de mindenképpen úgy tervezték, hogy működjön együtt a buyproxy szolgáltatással. Most, hogy kiderült, a rosszindulatú program-szkennerek megkezdhetik a ProxyBack eltávolítását. Mint a legtöbb rosszindulatú program esetében, valószínűleg ez is visszatér.